Вариант червя Bagle, в котором отсутствует функция саморазмножения, однако прочие функции соответствуют червям семейства Bagle.
Тело червя прикреплено к зараженному письму в виде аттача — ZIP-файла размером около 6 КБ. Внутри архива содержится файл червя с именем text.exe.
Червь представляет собой PE EXE-файл размером 10752 байта.
Инсталляция
После запуска червь копирует себя в системный каталог Windows с именем hloader_exe.exe:
%System%\hloader_exe.exe
И затем регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "auto_hloader_key"="%System%\hloader_exe.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также в системном каталоге Windows червь создает файл с именем hleader_dll.dll:
%System%\hleader_dll.dll
Создаваемый файл имеет размер 5693 байта.
Распространение
Данная модификация червя самостоятельно не размножается. Она была разослана по спам-рассылке.
Действие
В создаваемом червем dll-файле содержится большой список URL, которые проверяются на наличие файлов.
В случае если по какому-то из этих адресов будет помещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты червя на более новые или же устанавливать в систему любые другие вредоносные программы.
hleader_dll.dll содержит следующие URL адреса:
http://1st-new-orleans-hotels.com http://202.44.52.38 http://209.126.128.203 http://25kadr.org http://65.108.195.73 http://757555.ru http://80.146.233.41 http://abtechsafety.com http://abtechsafety.com http://acentrum.pl http://adavenue.net http://adoptionscanada.ca http://adventecgroup.com http://africa-tours.de http://agenciaspublicidadinternet.com http://ahava.cafe24.com http://aibsnlea.org http://aikidan.com http://ala-bg.net http://alevibirligi.ch http://alfaclassic.sk http://allanconi.it http://allinfo.com.au http://americasenergyco.com http://amerykaameryka.com http://amistra.com http://analisisyconsultoria.com http://av2026.comex.ru http://calamarco.com http://ccooaytomadrid.org http://charlies-truckerpage.de http://drinkwater.ru http://eleceltek.com http://furdoszoba.info http://home.1000km.ru http://kepter.kz http://lifejacks.de http://mijusungdo.net http://oklens.co.jp http://phrmg.org http://s89.tku.edu.tw http://sacafterdark.net http://sarancha.ru http://template.nease.net http://tkdami.net http://virt33.kei.pl http://wunderlampe.com http://www.8ingatlan.hu http://www.a2zhostings.com http://www.abavitis.hu http://www.adamant-np.ru http://www.agroturystyka.artneo.pl http://www.americarising.com http://www.aro-tec.com http://www.barth.serwery.pl http://www.bmswijndepot.com http://www.etwas-mode.de http://www.leap.co.il http://www.OTT-INSIDE.de http://www.rewardst.com http://www.stanislawkowalczyk.netstrefa.com http://www.timecontrol.com.pl http://www.ubu.pl
Червь создает в корневом каталоге Windows папку с именем exefld, в которую сохраняет загружаемые файлы.